第5章　基于随机博弈模型的网络安全态势评估

信息安全问题发生的原因,一是人的过失性,这与人总会有疏漏犯错误有关;二是人因某种意图有计划地采取各种行动,破坏一些信息和信息系统的运行程序,以达到某种破坏目的,这种事件称为信息攻击。受到攻击的一方当然不会坐以待毙,总会采取各种可能反抗这一行为(包括预防、应急措施),力图使对方的攻击难以奏效(或弱化至最小),以减小己方的损失以至惩处(或反攻)对方等,这种双方对立行动事件称为信息攻防对抗。信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略。所以可以利用博弈论来研究攻防矛盾及其最优防御决策等信息安全攻防对抗难题^[1]。Samuel N Hamilton指出^[2],博弈论将在网络攻防对抗领域发挥重要作用,是未来信息安全很有前途的研究方向。该文运用博弈论对信息安全攻防的博弈模型以及攻防过程进行了研究与分析。

博弈论是在具有相互对抗和反应特征的社会经济环境中最有效的决策理论和经济分析工具,是研究各个理性决策主体在其行为发生直接相互作用时的决策,以及这种决策的均衡问题的一种方法论。它主要是研究人们在利益相互影响的格局中如何使自己收益最大化的策略选择问题。

国内外的学者利用博弈论对网络信息安全问题做了很多相关的研究。早在1997年,就有文献^[3]提出应使用动态博弈来对网络中的正常节点和恶意节点进行理性分析的想法。这类文献^[4]将攻防双方看作非零和动态博弈中的两个局中人,并计算了双方的最优响应策略。国内运用博弈论对攻防问题研究的文献数量不多。主要出现在近几年,如有文献^[5]利用演化博弈论研究信息安全的攻防问题,建立了信息安全攻防的博弈模型,并分析了攻防双方的复制动态及进化稳定策略;相关文献^[6]中把网络攻防双方建模为二人非合作博弈模型,并给出了攻防博弈模型的形式化描述,用此模型来研究网络攻防双方的矛盾冲突和最优决策;相关文献^[7]将信息安全看作企业与入侵者之间的一个博弈,企业使用信息安全技术的目的是最小化入侵者带来的损失,企业的信息安全投资收益依赖于入侵的程度,而入侵者入侵的收益依赖于被发现的可能性,入侵者被发现的可能性依赖于信息安全技术。相关文献^[8]将不完全信息动态博弈引入到网络攻防的分析过程,讨论了均衡策略的存在性,完善了网络攻防对抗模型。这些研究都将信息安全问题视作攻击方与防御方的动态博弈,分别从攻防双方的策略以及互动来研究信息安全问题。

真正的安全不是单方面的,也不是静态的,而是于社会大背景下的一种信息对抗方式,是一个动态过程。信息系统安全有如下特点。

(1)攻防不对称性。攻防不对称性主要体现在攻防技术、攻防成本、攻防主体、攻防信息的不对称性上。如攻防技术的不对称方面体现在如下两个方面:①每个防御措施必定对应一个漏洞或者攻击技术,但并非每个漏洞或者攻击形式都存在相应的有效防御,同一漏洞可能存在很种攻击方式,增加了对攻击行为的预测难度,相对于攻击知识,防御措施总是有一定的滞后。②虽然是从攻击对抗中获取知识,但由于攻守地位的不同,防御者需掌握所有的攻击技术和漏洞信息才能达到与攻击者的平衡。

(2)不完全信息。在信息安全中,信息是指一切与攻防有关的知识,包括信息网络系统脆弱性知识、攻防参与者的攻防能力知识、过去的攻防行动和结果以及外界环境的作用等。受身份和自身角色的影响,攻防双方对于博弈信息的了解是不对称的。防御方能够准确、具体和全面地了解网络状态和网络拓扑结构,相反,攻击者虽然在攻防对抗知识上有自身的优势,但在目标系统信息获取上往往还只是一个盲目搜索和攻击试探的过程;而防御者虽然熟悉自己的安防系统,但却无法预测攻击在何时、何地以何种方式进行,只能全面考虑所有可能的攻击,针对存在的弱点处处设防、时时警惕。

(3)合理性。在博弈中,如果参与者积极寻找使自己博弈优势最大的办法,那么在某种意义上说博弈是合理的。在网络安全模型中假设攻防双方具有相近的知识也是合理的。攻击者选择最有效的方法进攻,而防御者也总是希望以最好的方法防御,攻击者和防御者在博弈期间都希望自己的行为达到最大的成效,因而他们是合理的参与者。

(4)重复博弈。在信息安全攻防中,攻防双方是不断地重复博弈的。攻击促进了防御的发展,防御技术的发展也刺激了攻击者不断寻找新的攻击方法。防御者成功的原因在于:总结到的攻击方法在攻击者所拥有的攻击方法中所占比例大,并且防御方法比攻击方法更复杂。攻击者成功的原因在于:在老的攻击方法失效之前发明新攻击方法,同时其复杂性必须能够保证新攻击方法层出不穷。